Attacke auf E-Mail-Konten

So tappten Google-Nutzer in die Phishing-Falle

Bei den Attacken auf die E-Mail-Konten von Tausenden Nutzern in Deutschland und Europa hatten die Internetkriminellen ein leichtes Spiel: dank sorgloser E-Mail-Kunden von Microsoft, Google, AOL und Yahoo. Google und Co haben die Sicherheitsvorkehrungen erhöht – und berichtet, wie Hacker die Passwörter erbeuteten.

Unter den Tausenden Opfern einer Phishing-Attacke auf E-Mail-Konten sind auch einige Hundert Kunden des E-Mail-Dienstes von Google. Dies bestätigte ein Sprecher des Unternehmens in Deutschland. Betroffen seien Nutzer von Konten mit der Domain gmail.com , die hierzulande seltener verwendet werde.

Laut Google wurden die Inhaber der ausgespähten Adressen zunächst per E-Mail und einem Link darin auf eine Internetseite gelockt, die dem Google-Portal täuschend ähnlich sah. Durch die Eingabe der Mailadresse und des Passworts gaben die Phishing-Opfer ihre Daten preis.

Google hat nun die Sicherheitsvorkehrungen verschärft. Die Passwörter der betroffenen Konten seien zurückgesetzt worden; Nutzer müssten sich nun durch Beantworten einer Sicherheitsfrage anmelden. Dies haben nach eigenen Angaben auch die anderen betroffenen Anbieter getan.

Die E-Mail-Adressen samt der dazugehörenden Passwörter waren auf einer Internetseite zeitweise öffentlich einsehbar. Die meisten der dort publizierten Adressen und Codebegriffe stammten jedoch von Hotmail -Kunden, die ihre E-Mails über den Dienstleister von Microsoft abrufen. Der Software-Konzern reagierte mit der Sperre von rund 10.000 Mailzugängen.

„Wir arbeiten mit den Kunden daran, dass sie ihr Konto wiederbekommen“, sagte Microsoft-Sprecher Baumgärtner. Wer nicht mehr an seine E-Mails komme, müsse sich mithilfe eines Formulars (Umleitung auf Windows Live Support) mit Microsoft in Verbindung setzen.

Verbraucherschützer geben den betroffenen E-Mail-Kunden eine Mitverantwortung und mahnen zu mehr Sorgfalt im Umgang mit elektronischen Daten. „Viele Verbraucher sind zu leichtgläubig“, sagte Karin Thomas-Martin von der Verbraucherzentrale Baden-Württemberg.

Die im Internet veröffentlichten Zugangsdaten hätten gezeigt, „dass die verwendeten Passwörter einfachster Bauart waren“. Verbraucherschützerin Thomas-Martin appellierte an die Nutzer von Internetdiensten aller Art, niemandem – auch nicht auf eine seriös anmutende Aufforderung per Mail hin – den gewählten Codebegriff zu verraten. „Kein Anbieter wird je nach dem Passwort fragen, weder per Telefon noch per E-Mail“, sagte die IT-Expertin.

Tabelle: Nutzung der E-Mail-Dienste in Deutschland

Quelle: 1und1 , Stand Februar 2009

Die Branche geht davon aus, dass die großen E-Mail-Anbieter die Sicherheit ihrer Daten insgesamt gut im Griff haben. „Die großen Provider treffen extrem hohe Sicherheitshürden“, sagt Lutz Neugebauer, Experte beim Verband Bitkom. Unternehmen wie Microsoft und Google würden immense Sicherheitsmaßnahmen einsetzen, um ihre Kunden vor Missbrauch zu schützen. Außerdem geben sie ihren Kunden regelmäßig Sicherheitstipps.

Diese sollte der Internetnutzer dann aber auch wahrnehmen. „Denn nur wenn er auch selbst etwas für seine Sicherheit tut, ist er wirklich geschützt“, sagt Neugebauer. An erster Stelle steht seiner Meinung nach aktuelle Sicherheitsausstattung des eigenen Computers samt Firewall und Antiviren-Scan.

Denn oft landen Angreifer mittels Trojanischer Pferde auf den heimischen Rechner. Laut einer Bitkom-Schätzung schicken Kriminelle schon in drei von vier Fällen ein solches Schadprogramm, das im Hintergrund Geheimzahlen und Passwörter ausspäht und weiterleitet. Die meisten Betrüger würden nicht mehr nur auf einfache Links zu gefälschten Seiten setzen.

Aber auch hier sollten die User weiterhin wachsam und misstrauisch sein. „Wer unaufgefordert dubiose E-Mails von Unbekannten bekommt, sollte diese lieber sofort löschen“, sagt Neugebauer. Auch Banken würden ihre Kunden zudem nie per E-Mail bitten, vertrauliche Daten im Netz einzugeben. Solche Dateien sollten nicht geöffnet werden, auch nicht, wenn in der Betreffzeile mit einer Kontosperre gedroht wird.

Microsoft-Sprecher Baumgärtner empfiehlt den Nutzern, häufig das Passwort zu wechseln – mindestens alle acht Wochen - und eine Kombination aus Buchstaben, Zahlen und Sonderzeichen zu wählen. Die Technologie-Website neowin.net hatte als erstes von der Attacke berichtet. Demnach wurden die gestohlenen persönlichen Daten der Benutzer am 1. Oktober auf der Seite pastebin.com veröffentlicht.